治愈數據泄露良藥何在

文 《法人》特約撰稿 董毅智

我國對于數據保護起步較晚，仍然有很長的路要走?，F行有效的法律處在一個“不上不下”的狀態，事實上，面對龐大群體遭受到的影響而言，并沒有起到實質意義上的保護作用

近日，華住酒店集團被爆出5億條用戶信息疑遭泄露，包括1.3億條身份信息和2.4億條開房記錄。

該事件起因是在暗網中文論壇上出現一則出售華住集團旗下酒店數據的帖子，這些數據涉及1.3億條身份信息和2.4億條開房記錄等共5億條信息，被標價為8比特幣或520門羅幣(約等于37萬人民幣)出售。

數據泄露范圍為在官網登記的姓名、手機號、郵箱、身份證號、登錄密碼，入住登記的身份信息包括家庭住址，以及酒店開房記錄，包括內部ID號、同房間關聯號、姓名、卡號、手機號、郵箱、入住時間、離開時間、酒店ID號、房間號、消費金額等。

隨后華住集團表示已在第一時間報警，公安機關正在展開調查。

華住集團是國內知名的酒店集團，目前，華住集團旗下運營的酒店品牌已經覆蓋所有市場，包括美爵、VUE、禧玥、諾富特、美居、漫心、全季、桔子水晶、桔子精選、CitiGO、星程、宜必思尚品、宜必思、漢庭優佳、漢庭、怡萊、海友等眾多品牌。

近來，關于酒店開房記錄被泄露的事件時有發生，而目前的法律規范及酒店企業內部的一系列保密措施，效果顯然十分有限。

屢被泄露的信息

2015年，凱悅酒店就爆出過因支付系統問題導致信用卡信息泄露，涉及約50個國家的250個酒店。2017年10月，全球范圍內41家凱悅酒店遭到黑客攻擊，導致11個國家的凱悅酒店信息泄露，其中中國酒店有11家，分布于上海、杭州、廣州等地。泄露信息內容包括持卡人姓名、卡號、到期時間、內部認證密碼等。運營總裁稱泄露原因是“第三方針對酒店IT系統植入的含有惡意軟件代碼的卡片”。凱悅酒店此后表示事情已經解決，但并未對消費者補償。

2017年11月，希爾頓對于在2014年至2015年之間的信息泄露，被紐約和佛蒙特州的總檢察長宣布罰款為700,000美元。希爾頓被認為未能妥善保護他們的信息，且在發生信息泄露事件后未能及時告知客戶，“商家有義務通知消費者在違約的情況下，保護個人信息安全的可能”。

此前，一家名為“瑞智華勝”新三板公司被爆出劫持運營商流量，違規竊取用戶數據，媒體戲稱為“史上最大規模的數據竊取案”，BAT們紛紛中招，包括百度、騰訊、阿里、今日頭條等全國96家互聯網公司。數據稱，該公司一年營收超3000萬元。

據相關報道顯示，瑞智華勝自2014年開始，通過競標與覆蓋全國十余個省市多家運營商簽訂正式的服務合同，以為其提供精準廣告投放系統的開發和維護工作的名義，獲取運營商服務器的遠程登錄權限，從而竊取用戶的cookie數據。財新報道提及，公司內部存在“內鬼”提供幫助。

2016年12月京東被曝有多達12G的用戶數據外泄；在2017年3月，京東員工與黑客協作再次導致用戶信息泄露。

2017年1月，名為“DoubleFlag”的知名暗網供應商出售竊取自多家中國互聯網公司的用戶數據，8億多個用戶數據價格僅為0.4457比特幣（折合人民幣2750元）。

2017年10月，南非遭遇史上最大規模數據泄露，3000多萬客戶信息被公開。

2017年11月Uber主動公開去年曾向黑客支付10萬美元封口費以隱瞞5700萬賬戶數據泄露事件；2018年6月Acfun發布公告稱遭遇黑客攻擊，近千萬條用戶數據外泄。

一系列與泄露隱私相關的案例顯示，數據泄露問題已成為現代人的夢魘之一。

泄露事件背后的縱橫交錯

當前，新媒體發展迅速，用戶普及度已經足夠，信息已充斥于各個虛擬空間，剩下的只是如何用信息來賺錢的問題。BAT所靠的流量紅利到達瓶頸，以至于廣告投放效益也受到影響，如同互聯網的發展思路，在“走量”已獲得階段性成功后，下一步致力于精準投放。所謂知己知彼，對信息的獲取、整合能夠幫助企業減少投放成本，使廣告商在有限支出范圍內獲取最大效益。

于BAT企業而言，態度是堅決拒絕買賣、泄露信息，但是獲取信息的方式可不止買賣一種，何況，現狀是用戶信息并不被某特殊幾家所擁有，而是存在公共空間內肆意抓取。另外，黑客侵入也是信息大面積泄露的原因之一，包括與內部員工勾結的方式，其背后透露出的是企業內部的管理以及技術上存在缺陷。

監管的問題自不用多說，幾個月前歐盟GDPR的出臺讓一眾相關互聯網公司慌亂，可見其問題之嚴峻，也從側面反映出，信息的濫用已是行業內的“潛規則”。

我國對于數據保護起步較晚，仍然有很長的路要走，現行有效的法律處在一個“不上不下”的狀態。在2009年刑七出臺之后，將“侵犯公民信息罪”納入其中，隨后在2017年出臺司法解釋，對“情節嚴重”“情節特別嚴重”等做出解釋，除外還有在2016年通過的《中華人民共和國網絡安全法》，然而事實上，國內就此走上訴訟程序的案子少之又少，面對龐大群體遭受到的影響而言，并沒有起到實質意義上的保護作用。

企業與個人均應擔起重任

不少用戶包括筆者自身也感受到了信息泄露的情況之甚，比如前幾天還在與同伴面對面稱要買一件物品，第二天就在某電商平臺推薦看到了類似產品。監管尚不完善，情勢逐漸嚴峻的情況下用戶需要提升個人隱私的保護意識，“破罐子破摔”“怕麻煩”“徒勞無功”等心理并不可取，只是寄期望于《黑鏡》中的悲劇不要發生的僥幸心理，往往成為自己的劊子手。

對于企業層面的警示已無須多說，但又不可棄之。在法律法規執行力尚缺的情形下，企業應當從自身出發，尤其是幾大BAT巨頭，以身作則將保護數據放到至關重要的位置。

包括但不限于完善內部規制，聯合上下游商戶共同抵制數據泄露，以及從企業出發提出行業內部的數據保護辦法，或采取舉報獎勵機制，領頭打壓數據泄露問題。

“數據泄露”短期內難以根治

數據泄露問題之大之難，在于行業范圍、受眾群體廣闊，違法成本低廉，作為互聯網時代下的突出問題，尚未有一個可以效仿的對象，很難打擊到位，以及牽扯到巨頭之間的權力制衡，前路漫漫。

筆者認為，短期內或將持續爆發類似數據泄露問題，在歐盟的GDPR出臺后，國際間或將出臺類似條約以達成共識，但這需要一個較為漫長的過程，或需要一個強有力的國家真實感受到利益的受損，才能誕生類似提議。

筆者長期強調“創新”需要技術層面的“不可替代”，而不僅是理念、講故事，近來馬云、馬化騰也發表了對于“創新”的新看法，這已是從國家層面滲透至企業的趨勢、意識，相信對于用戶信息的保護亦如是，我們總會看到明媚的那一天，只是希望它早一點、再早一點到來。